Cuánto vale tu contraseña en la dark web: así roban y venden tus datos con phishing

El robo de credenciales y datos personales a través de campañas de phishing es una de las amenazas digitales más lucrativas y extendidas a nivel global.

Un reciente análisis de la compañía de ciberseguridad Kaspersky, reveló que el 88% de los ataques de phishing busca obtener accesos a servicios en línea, mientras que el resto apunta a datos personales o información bancaria.

Una de las preguntas que se genera es qué ocurre con esa información después de ser robada y cuánto puede valer tu contraseña en los mercados clandestinos de ciberdelincuentes.

El valor de tus datos no solo reside en la cantidad, también en el tipo de acceso que puede otorgar a los ciberdelincuentes. Desde menos de un dólar por credenciales básicas hasta cientos de dólares por cuentas de banca o criptomonedas, la economía de la dark web convierte tus contraseñas y documentos en un recurso comercializable y reutilizable en una variedad de ataques.

Cómo roban contraseñas y datos personales

Las campañas de phishing suelen funcionar a través de páginas fraudulentas que simulan ser portales legítimos. Los usuarios, engañados por mensajes persuasivos, introducen credenciales, datos personales o información bancaria que se envía automáticamente a los atacantes.

Según el informe de ciberseguridad, estos datos se transmiten mediante correo electrónico, bots de mensajería como Telegram o paneles privados antes de llegar a canales de compraventa en la dark web.

Las credenciales robadas rara vez se usan una sola vez. Lo habitual es que los ciberdelincuentes agrupen los datos obtenidos en diferentes campañas y los vendan en grandes bases de datos.

Cuánto pueden valer tus datos en la dark web

En algunos casos, acceder a una cuenta puede costar tan solo 50 dólares, mientras que los accesos a servicios de criptomonedas pueden alcanzar los 105 dólares y las cuentas bancarias hasta 350 dólares. Documentos personales como pasaportes e identificaciones suelen comercializarse por unos 15 dólares de media.

El valor de una contraseña o un documento en la dark web depende de varios factores. Entre ellos destacan la antigüedad de la cuenta, el saldo disponible, los métodos de pago asociados y el nivel de seguridad de la plataforma.

Cuantos más datos se asocian y combinan, mayor el valor para los ciberdelincuentes, que pueden construir perfiles digitales complejos y utilizarlos en ataques dirigidos a personas con activos relevantes o acceso a información sensible.

Desde el informe de ciberseguridad fue señalado que algunos accesos se venden por menos de un dólar y otros pueden superar los 300 dólares dependiendo del servicio. Los ciberdelincuentes clasifican, validan y reutilizan credenciales para intentar acceder a múltiples plataformas y aumentar su beneficio.

Según Fabiano Tricarico, director de productos para el consumidor en Kaspersky, la mayoría de las campañas de phishing actuales están optimizadas para robar credenciales. Los nombres de usuario, contraseñas y números telefónicos se agrupan, verifican y comercializan incluso tiempo después del robo inicial.

Cuando estos datos se combinan con información adicional, pueden facilitar la toma de control de cuentas y ataques personalizados tanto a personas como a organizaciones.

La facilidad con la que los datos robados se venden y reutilizan hace que el phishing siga siendo un método rentable y difícil de erradicar. Además, la globalización de las plataformas de compraventa digital facilita la circulación de estas bases de datos entre criminales.

Cómo protegerte del phishing y evitar que tus datos acaben en la dark web

Para reducir el riesgo de que tus credenciales terminen en manos equivocadas, sigue estas recomendaciones:

• No abras enlaces ni archivos adjuntos sospechosos. Verifica siempre el remitente y, en caso de dudas, contacta a la institución por vías oficiales.
• Revisa bien las URLs antes de ingresar información personal. Fíjate en detalles ortográficos o visuales que puedan alertar de un sitio falso.
• Monitorea tu actividad bancaria y reporta movimientos extraños de inmediato.
• Activa la autenticación multifactor en todos los servicios posibles para añadir una capa extra de seguridad.
• Cambia tus contraseñas si crees que han sido robadas y evita reutilizar claves en diferentes cuentas.
• Utiliza soluciones de seguridad que analicen sitios web y alerten ante posibles fraudes.

La mejor defensa contra el phishing es la prevención, la educación y el uso responsable de las herramientas digitales.